Was ist ein Cybersecurity-Framework? (ISO 27110)
Inhaltsverzeichnis
CyberSecurity Standards: ISO/IEC TS 27110:2021
ISO und IEC
Die ISO (die Internationale Organisation für Normung) und die IEC (die Internationale Elektrotechnische Kommission) sind verantwortlich für weltweite Normen. Nationale Gremien, die Mitglieder der ISO oder IEC sind, beteiligen sich an der Entwicklung internationaler Normen durch technische Ausschüsse, die von der jeweiligen Organisation für bestimmte technische Tätigkeitsbereiche eingerichtet wurden.
Inhalte von ISO/IEC TS 27110:2021 (ISO 27110)
Um die Herausforderung zu bewältigen, die sich durch die ständige Weiterentwicklung von Cyber-Bedrohungen ergeben, erstellen Unternehmensgruppen, Behörden und andere Organisationen Dokumente und Tools, die als Cyber-Security-Framework (Cybersicherheitsrahmen) bezeichnet werden.
Das Ziel: Der Schutz von einzelnen Benutzern und Organisationen.
Diese Organisationen, die die diese Rahmenwerke für Cybersicherheit erstellen, werden einfach nur “Ersteller” (“Creators”) genannt. Das derzeitige Angebot an Cybersecurity-Frameworks und Erstellern ist vielfältig und unterschiedlich. Organisationen, die diese Cybersecurity-Frameworks verwenden, stehen vor der Herausforderung, verschiedene Definitionen und allgemein konzeptionelle Strukturen zu in ihre Sicherheitspolitik zu integrieren.
Das Ziel von ISO/IEC TS 27110 ist es, sicherzustellen, dass ein Minimum an Konzepten zur Definition von Cybersecurity-Frameworks verwendet wird, um die Belastung der Ersteller und Nutzer von Cybersecurity-Frameworks zu verringern.
Anforderungen an ein ISMS, also an ein “Information Security Management System”, werden in ISO/IEC 27001 (das berühmte ISO 27001) behandelt.
Grundsätze
Die Grundsätze von ISO 27110 lauten:
- Flexibilität, damit mehrere Arten von Cybersecurity-Frameworks existieren können
- Kompatibilität, damit mehrere Cybersecurity-Frameworks aufeinander abgestimmt werden können
- Interoperabilität, damit Cybersecurity-Frameworks ausgetauscht werden können
ISO 27110 wendet sich an die die Ersteller von Cybersecurity-Frameworks.
Inhalte eines Cybersecurity-Frameworks
Wer das NIST Cybersecurity Framework kennt, wird das hier sehr bekannt vorkommen.
Identifizieren
Die Aktivitäten in der Funktion “Identifizieren” bilden die Grundlage für eine effektive Nutzung des Cybersecurity-Frameworks.
Beispiele für Ergebniskategorien innerhalb dieser Funktion sind:
- Vermögensverwaltung,
- Geschäftsumfeld,
- Governance,
- Risikobewertung
- und Risikomanagement-Strategien.
Schützen
Hier geht es um die Entwicklung und Umsetzung geeigneter Schutzmaßnahmen, um die Bereitstellung kritischer Dienste zu gewährleisten.
Die Schutzfunktion soll zur zur Begrenzung oder Eindämmung der Auswirkungen eines Cybersicherheitsereignisses beitragen. Beispiele für Ergebniskategorien innerhalb dieser Funktion sind:
- Identitätsmanagement und Zugangskontrolle,
- Sensibilisierung und Schulung (“Awareness”),
- Datensicherheit,
- Prozesse und Verfahren zum Schutz von Informationen,
- Wartung und Schutztechnologie allgemein.
Erkennen
In dieser Funktion geht es um das Entwickeln und Implementieren von geeigneten Aktivitäten, um das Auftreten eines Cybersicherheitsereignisses zu erkennen.
Diese Funktion ermöglicht die rechtzeitige Entdeckung von Cybersecurity-Ereignissen. Beispiele für Ergebniskategorien innerhalb dieser Funktion sind:
- Anomalien und Ereignisse,
- kontinuierliche Überwachung
- und allgemeine Erkennungsprozesse.
Reagieren
Bei “Respond” geht es um die Entwicklung und Umsetzung geeigneter Maßnahmen bei einem entdeckten Cybersicherheitsvorfall: Wie geht man in solch einem Fall vor?
Wie sieht die
- Reaktionsplanung,
- Kommunikation,
- Analyse
- und Schadensbegrenzung
aus?
Wiederherstellen
Die Wiederherstellungsfunktion ermöglicht die rechtzeitige Wiederherstellung des normalen Geschäftsbetriebs, um die Auswirkungen eines Cybersicherheitsvorfalls zu reduzieren.